信息安全等级保护制度的主要内容和工作要求
国家信息安全等级第二级保护制度
国家信息安全等级保护制度(二级)一、技术要求1、物理安全1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制(1)机房出入口应有专人值守,鉴别进入的人员身份并登记在案;(2)应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏(1)应将主要设备放置在物理受限的范围内;(2)应对设备或主要部件进行固定,并设置明显的不易除去的标记;(3)应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;(4)应对介质分类标识,存储在介质库或档案室中;(5)应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击(1)机房建筑应设置避雷装置;(2)应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮(1)水管安装,不得穿过屋顶和活动地板下;(2)应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;(3)应采取措施防止雨水通过屋顶和墙壁渗透;(4)应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供应(1)计算机系统供电应与其他供电分开;(2)应设置稳压器和过电压防护设备;(3)应提供短期的备用电力供应(如UPS设备)。
1.10 电磁防护(1)应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;(2)电源线和通信线缆应隔离,避免互相干扰。
2、网络安全2.1结构安全与网段划分(1)网络设备的业务处理能力应具备冗余空间,要求满足业务高峰期需要;(2)应设计和绘制与当前运行情况相符的网络拓扑结构图;(3)应根据机构业务的特点,在满足业务高峰期需要的基础上,合理设计网络带宽;(4)应在业务终端与业务服务器之间进行路由控制,建立安全的访问路径;(5)应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;(6)重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度-网络安全管理规定
XXXX有限公司网络安全管理规定第一章总则第一条为加强和规范XXXX有限公司网络的安全管理,杜绝非授权的网络资源的访问、使用及控制,确保XXXX有限公司各网络的安全平稳运行,根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008),结合XXXX有限公司实际,特制订本规定制定本规定。
第二条本规定适用于XXXX有限公司平台研发部及个人。
第三条信息安全管理人员负责网络安全管理流程的制订和维护、网络安全评估和检查、网络安全事件的处置。
第四条网络管理人员负责网络结构的调整和维护、网络设备的日常维护、监控和报警、网络设备(如交换机、路由器等)检查、加固和更新。
第二章网络架构安全第五条网络拓扑管理(一)网络整体的拓扑结构需进行严格的规划、设计和管理,一经确定,不能轻易更改。
如因业务需要,确需对网络的整体拓扑结构进行调整和改变,需按照相应的变更与管理规程进行,并对变更后的网络拓扑进行核实。
(二)网络管理人员负责维护与当前运行情况相符的网络拓扑结构图,并按照对应密级保护要求妥善保管。
第六条网络冗余要求为了避免关键链路节点的单点故障,防范拒绝服务攻击,应通过资源使用监控,及时发现资源瓶颈:(一)关键网络设备,应保证主要网络设备(如核心交换机)的业务处理能力具备冗余空间,满足业务高峰期需要;(二)网络带宽资源,应通过双链路、上网行为控制、QoS 和带宽升级等手段保证正常业务的访问要求;(三)多媒体网络应用,应以不影响网络传输为原则,合理控制多媒体网络应用规模和范围,未经信息安全领导小组批准,不得在内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。
第七条网络区域划分与隔离(一)网络系统应按照安全级别和功能,进行区域划分,各区域应根据其安全级别的不同采用适当的安全防护措施;(二)各安全区域间互联时应该实施适当的隔离措施;(三)开发测试环境应与生产网络隔离;(四)只允许指定条件下的网络访问,逻辑隔离的网络实施缺省拒绝的访问控制。
信息安全等级保护管理制度
⏹更多资料请访咨询.(.....)⏹更多资料请访咨询.(.....)关于开展保险业信息系统平安等级保卫定级工作的通知保监厅发〔2007〕45号各保监局,各保险公司、保险资产治理公司,中国保险行业协会:为贯彻落实国家信息平安等级保卫制度,按照?关于开展全国重要信息系统平安等级保卫定级工作的通知?(公信安〔2007〕861号)要求,中国保监会将在保险行业内开展信息系统平安等级保卫定级工作。
现将有关事项通知如下:一、等级保卫定级工作的要求及组织方式各单位应按照“正确定级、严格审批、及时备案、认真整改、科学测评〞的要求和“自主定级、自主保卫〞的工作原那么,成立相应的领导及实施机构,结合本单位的实际情况,正确开展信息系统等级保卫定级工作。
保监会成立等级保卫定级工作领导小组,统一领导、解决保险行业信息平安等级保卫定级工作中的重大咨询题;保监会等级保卫定级工作领导小组下设办公室,具体负责保监会机关信息系统等级保卫定级的具体实施工作和行业定级工作的指导审核。
各保监局负责本局内独立运行的信息系统等级保卫定级工作,并对各自辖区内的保险公司分支机构的等级保卫定级工作进行指导审核。
各保险集团公司、保险控股公司负责本公司信息系统等级保卫定级工作以及其下属子公司信息系统等级保卫定级工作的组织协调和指导。
各保险总公司统一部署本公司和分公司的信息系统等级保卫定级工作。
二、定级工作安排及定级范围(一)定级工作安排为稳妥做好等级保卫定级工作,拟在保险行业内分步分批实施。
保险行业第一批定级单位包括:保监会及各保监局,中国保险行业协会,中国人民保险集团公司、中国人寿保险(集团)公司、中国再保险(集团)公司、中国出口信用保险公司、民生人寿保险股份、阳光保险控股股份、中国平安保险(集团)股份、中国太平洋(集团)股份及其下属各子公司和分公司。
其余公司作为第二批定级单位(具体时刻安排另行通知)。
(二)定级范围1、保险监管部门监管、办公及网站等重要信息系统;保险公司和中国保险行业协会经营、治理、办公等重要信息系统。
信息安全等级保护制度
感谢您的观看
T测技术
通过部署监测设备,实时监测网络 流量和安全事件,及时发现并处置
网络安全威胁。
数据加密技术
通过加密算法对数据进行加密处理 ,保护数据的安全性和完整性。
安全审计技术
通过审计系统对网络流量和安全事 件进行审计,发现并纠正可能存在 的安全问题。
信息安全等级保护制度的应急响应技术
等级划分
根据信息和信息载体的重要性,一般将信息安全等级划分为 五级,分别是一级、二级、三级、四级和五级。每个级别都 有相应的保护要求和措施。
等级保护制度的基本原则
统一规划、分级实施
信息安全等级保护制度要求对信息和信息载体进行统一规划,并 按照分级原则进行实施。
全面覆盖、突出重点
信息安全等级保护制度要求对所有重要信息和信息载体进行全面 覆盖,同时突出重点,对关键信息基础设施实行重点保护。
定义
信息安全等级保护制度是对信息和信息载体按照重要性等级分级别进行保护 的一种工作机制。
重要性
信息安全等级保护制度旨在保障国家关键信息基础设施的安全运行,降低信 息和数据泄露的风险,维护社会稳定和公共利益。
等级保护制度的法规要求
法规依据
信息安全等级保护制度主要依据《中华人民共和国网络安全 法》、《信息安全等级保护管理办法》等法律法规制定。
要点二
实施过程
在信息安全等级保护制度下,大型企 业根据自身业务特点和安全风险评估 结果,将信息系统划分为不同的安全 等级,并制定相应的安全管理制度。 同时,还加强了对合作伙伴的安全管 理和风险控制。
要点三
效果评估
通过信息安全等级保护制度的实施, 大型企业有效地降低了信息安全风险 ,保障了客户信息和资金的安全。同 时,也提高了企业形象和市场竞争力 。
信息安全等级保护
信息安全等级保护1.定义(百度百科)信息安全等级保护,是对信息和信息载体按照重要性等级分级别进行保护的一种工作,在中国、美国等很多国家都存在的一种信息安全领域的工作。
(百度文库)信息安全等级保护是指国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。
信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
2. 工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。
3. 核心信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。
4.分级第一级为自主保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级为指导保护级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。
第三级为监督保护级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。
第四级为强制保护级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。
第五级专控保护级,信息系统受到破坏后,会对国家安全造成特别严重损害。
国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。
5. 体系结构(1)技术部分包括物理安全,网络安全,主机安全,应用安全,数据安全。
国家信息安全等级第二级保护制度
国家信息平安等级保护制度〔二级〕一、技术要求1、物理平安1.1物理位置的选择机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内;1.2 物理访问控制〔1〕机房出入口应有专人值守,鉴别进入的人员身份并登记在案;〔2〕应批准进入机房的来访人员,限制和监控其活动范围。
1.3 防盗窃和防破坏〔1〕应将主要设备放置在物理受限的范围内;〔2〕应对设备或主要部件进行固定,并设置明显的不易除去的标记;〔3〕应将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;〔4〕应对介质分类标识,存储在介质库或档案室中;〔5〕应安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
1.4 防雷击〔1〕机房建筑应设置避雷装置;〔2〕应设置交流电源地线。
1.5 防火应设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
1.6 防水和防潮〔1〕水管安装,不得穿过屋顶和活动地板下;〔2〕应对穿过墙壁和楼板的水管增加必要的保护措施,如设置套管;〔3〕应采取措施防止雨水通过屋顶和墙壁渗透;〔4〕应采取措施防止室内水蒸气结露和地下积水的转移与渗透。
1.7 防静电应采用必要的接地等防静电措施1.8 温湿度控制应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
1.9 电力供给〔1〕计算机系统供电应与其他供电分开;〔2〕应设置稳压器和过电压防护设备;〔3〕应提供短期的备用电力供给〔如UPS设备〕。
1.10 电磁防护〔1〕应采用接地方式防止外界电磁干扰和设备寄生耦合干扰;〔2〕电源线和通信线缆应隔离,防止互相干扰。
2、网络平安2.1结构平安与网段划分〔1〕网络设备的业务处理能力应具备冗余空间,要求满足业务顶峰期需要;〔2〕应设计和绘制与当前运行情况相符的网络拓扑结构图;〔3〕应根据机构业务的特点,在满足业务顶峰期需要的根底上,合理设计网络带宽;〔4〕应在业务终端与业务效劳器之间进行路由控制,建立平安的访问路径;〔5〕应根据各部门的工作职能、重要性、所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原那么为各子网、网段分配地址段;〔6〕重要网段应采取网络层地址与数据链路层地址绑定措施,防止地址欺骗。
信息安全等级保护制度的主要内容和要求
信息安全等级保护制度的主要内容和要求什么是信息安全等级保护制度?信息安全等级保护制度,简称信息保护制度(或C保护制度),是指国家对各类重要信息系统的安全等级进行划分,并根据不同等级制定不同的信息安全保护措施体系。
该制度是我国信息安全行业的重要标志之一,目的是保护重要信息系统的安全和稳定运行,从而保障国家的安全利益。
信息安全等级保护制度的主要内容信息安全等级保护制度是由官方机构和专业机构共同参与制定,目前分为4个级别,分别为“核心”、“重要”、“一般”、“一般级”四个级别,每个级别的保护要求和保护措施不同。
核心级核心级是最高等级,指涉及国家安全、军事安全、重要经济命脉、人民群众生命财产安全以及社会稳定等方面的信息系统。
其主要保护措施包括:•每日备份数据至离线备份机房;•应急处置预案必须保持在最新状态;•用户需要签订保密协议,保障数据安全;•部署安全监控系统,随时捕捉异常操作或攻击情况;•信息泄露后,需在2小时内报告相关部门。
重要级重要级信息系统是指涉及国家经济建设、政治、外交、科技等国家利益和人民群众生产、生活和健康安全方面的信息系统。
其主要保护措施包括:•划分多层次访问权限,在明确范围内进行配置;•实施物理隔离和网络隔离,确保边界安全;•部署安全防护设备,包括入侵检测、防火墙等;•开展安全漏洞测试和风险评估。
一般级一般级信息系统是指涉及政府各部门、企事业单位等一般信息系统。
其主要保护措施包括:•加密重要信息,确保机密性;•网络通信安全,保护数据完整性和可用性;•安全审计,记录和监督操作日志;•针对各种攻击手段进行防范和应对。
一般级(核心部委)一般级(核心部委)是对部委系统进行特殊分类的一般级信息系统。
其主要保护措施包括:•安全防护设备,如断网安全等级保护系统(GJB1782-2005);•资源访问控制,限制非本系统人员访问;•数据备份及恢复,避免数据丢失;•安全漏洞扫描、修复和漏洞统计。
信息安全等级保护制度的主要要求信息安全等级保护制度对每个级别都有一系列的要求,其中一些主要的要求包括:•整体安全意识要高,每个岗位、每个员工都要重视信息安全;•建立完善的安全管理和保障体系,包括安全组织、安全策略、安全标准等;•建立完善的信息管理和保障体系,包括信息采集、信息存储、信息传输等;•建立完善的安全监控和应急预案体系,包括定期演练应急处置预案、维护系统和网络设施的安全等等。
国家信息安全等级保护制度的主要内容和要求
公
安
公安部 网络安全保卫局 郭启全
部
全国公安机关网络安全保卫部门 机构和职责
机构:公安部:网络安全保卫局
公
各省:网络警察总队 地市:网络警察支队
区县:网络警察大队
安 职责:制定信息安全政策
互联网安全管理,网上监控
部
打击网络犯罪
重要系统安全监察
网络与信息安全通报
部 对故意将信息系统安全级别定低,逃避公 安、保密、密码部门监管,造成信息系统 出现重大安全事故的,要追究单位和人员 的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
公
近几年,公安部根据国务院147号 令的授权,会同国家保密局、国家密
码管理局、发改委、原国务院信息办
安
出台了一些文件,公安部对有些具体 工作出台了一些指导意见和规范,构
部 (三)通过对信息系统开展等级测评,及时 发现了信息系统的安全隐患、漏洞和薄弱 环节,初步掌握了重要信息系统安全保护 状况。
近年来等级保护工作成效
(四)通过开展信息安全等级保护安全
公
建设整改,重要信息系统安全防护能 力显著增强,信息安全事件(事故)
数量明显下降。
安 (五)重要行业、部门以等级保护工作
部 支持、服务等工作,并接受监管部门的
监督管理。
一、等级保护制度的主要内容
专家组
公 宣传等级保护相关政策、标准; 指 导备案单位研究拟定贯彻实施意见和建设 规划、技术标准的行业应用;参与定级和
安 安全建设整改方案论证、评审;协助发现
树立典型、总结经验并推广;跟踪国内外
部 信息安全技术最新发展,开展等级保护关
信息安全等级保护总体方案
第二十二页,编辑于星期六:十六点 十四分。
等级保护如何实施
(五)安全等级产品保护 安全等级保护产品研发、提供、选
购,应当贯彻标准和法规规定,符合信 息安全产品的可控性、可靠性、可信性、 安全性和可监督性的要求。
对等级系统的安全服务资质分级许可管理。 对信息系统中发生的信息安全事件分等级响应、处置。
第五页,编辑于星期六:十六点 十四分。
等级保护是什么
(三)为什么要搞等级保护 保护业务安全应用。对信息安全分级保护是客观需求:信
息系统的建立是为社会发展、社会生活的需要而设计、建立 的,是社会构成、行政组织体系及其业务体系的反映,这种 体系是分层次和级别的。因此,信息安全保护必须符合客观 存在。
根据信息系统应用业务重要程度及其实际安全需求,实行分级、分 类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家
利益、公共利益和社会稳定。
等级保护的核心是对信息系统特别是对业务应用系统安全分 等级、按标准进行建设、管理和监督。国家对信息安全等级保护 工作运用法律和技术规范逐级加强监管力度。突出重点,保障重
国家对等级保护所需的信息技术安全产品选购使用 应当实行分级管理政策。第三级以上的安全产品出口实 行审批制度,保障国家关键核心信息安全保护技术不外 泄。
非等级保护产品可以进入国际商业交流领域。
第二十五页,编辑于星期六:十六点 十四分。
等级保护如何实施 (八)监督、检查、指导
政府职能部门依法按标准进行监督、 检查、指导、提供服务。
第二十页,编辑于星期六:十六点 十四分。
等级保护如何实施
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级要求
国家信息安全等级保护制度第二级是一种中等安全保护级别,适用于含有国家秘密的信息系统和非国家秘密级别但需要较高安全级别的信息系统。
该级别的要求主要包括以下几个方面:
一、系统管理
1、制定健全的信息安全管理规定。
2、建立信息安全管理组织,明确职责和权限。
3、建立信息安全检测机制,定期检测系统漏洞和安全性。
4、制定应急预案,并定期演练。
5、规范用户权限管理,限制用户对系统的访问权限。
6、保证系统管理人员的经常性培训。
二、物理安全
1、采用防火、防盗、防水等物理防护措施,确保系统物理安全。
2、配备适当的备份设备,备份数据定期进行。
3、设备摆放合理,设备运行环境应满足标准要求。
4、对出入系统的人员身份进行身份验证,并记录相关信息。
三、网络安全
1、采用有效的网络安全控制设备和技术,如防火墙、VPN等。
2、加强对外网的防护,限制外网与系统的连接。
3、规范网络访问控制,限制访问权限。
4、建立监管机制,收集、分析网络安全日志。
5、使用加密技术保证信息在传输过程中的保密性。
四、应用安全
1、对系统业务进行分级,为不同级别的业务设置不同的安全保护措施。
2、对重要数据进行加密,确保其机密性。
4、加强软件管理和维护,及时打补丁、升级版本。
五、人员安全
1、对系统操作人员进行背景调查,并进行协议保密。
2、系统操作人员保证工作区不闲置,离开时必须上锁,不得随意携带介质。
3、加强系统操作人员的培训和教育,提高其安全意识。
国家信息安全等级保护制度建设政策要求(公安部)
公
的主要目的 ♦ 明确重点、突出重点、保护重点。
安 ♦有利于同步建设、协调发展。
♦ 优化信息安全资源的配置。
部 ♦明确信息安全责任。
♦ 推动信息安全产业发展。
一、信息安全等级保护工作的主要 任务和内容
(三)等级保护工作的主要内容
公
♦ 信息系统定级 ♦ 信息系统备案
安
♦ 安全建设整改 ♦ 等级测评
部
行政级别的降低而降低,例如地市级 的重要系统不能定为一、二级。
一、信息安全等级保护工作的主要 任务和内容
(六)相关部门责任和义务 ♦ 监管部门:制定管理规范和技术标准 ,
公 组织实施,监督、检查、指导。 ♦ 行业主管部门:督促、检查、指导本行
安 业、本部门开展等级保护工作。 ♦ 运营使用单位:开展信息系统定级、备 案、建设整改、等级测评、自查等工
有机结合,确保安全管理制度得到
部 有效落实。
(3)建立并落实监督检查机制。
三、信息安全等级保护安全建设 整改工作的主要内容和要求
2、等级保护安全技术措施建设
公
♦结合行业特点和安全需求,制定 符合相应等级要求的信息系统安
安
全技术建设整改方案,开展安全 技术措施建设。
部 ♦可以采取“一个中心三维防护”
任务和内容
♦ 第四级信息系统:一般适用于国家重 要领域、重要部门中涉及国计民生、
公
国家利益、国家安全,影响社会稳定 的核心系统。例如全国铁路客票系统、
列车指挥调度系统、民航离港系统、
安
空管系统、电力二次系统、银行核心 业务系统、电信基础平台等。
需特别注意的是:同类信息系统
部 的安全保护等级不能随着部、省、市
三、信息安全等级保护安全建设 整改工作的主要内容和要求
国家信息安全等级保护制度主要内容和要求
树立典型、总结经验并推广;跟踪国内外
部 信息安全技术最新发展,开展等级保护关
键技术研究;研究提出完善等级保护政策 体系和技术体系的意见和建议。
一、等级保护制度的主要内容
(六)开展等级保护工作的基本要求 各单位、各部门,按照“准确定级、严格
公 审批、及时备案、认真整改、科学测评” 的要求开展等级保护的定级、备案、整改、 测评等工作。
2008年国务院“三定”方案中,增加了公安部职能: 监督、检查、指导信息安全等级保护工作。
一、等级保护制度的主要内容
确立了信息安全等级保护制度的法律
公 地位;
明确了实行等级保护是我国信息安全
安 保障工作中一项重要制度和措施;
部
赋予了公安机关牵头负责信息安全等 级保护工作监督管理的职责。
一、等级保护制度的主要内容
安 [2009]1487号) 10、《公安机关信息安全等级保护检查工作 规范》(公信安[2008]736号 )
部 11、《关于开展信息安全等级保护专项监督 检查工作的通知》(公信安[2010]1175号) 12、《关于进一步推进中央企业信息安全等 级保护工作的通知》(公通字[2010]70号)
二、等级保护政策体系和标准体系
部 信息安全人才培养; 保证信息安全资金; 信息安全工作的领导,信息安全责任制。
网络与信息安全主要对策
公 安
部
加强组织领导,提高信息安全保障工作 的组织协调能力。
深化开展等级保护工作,提高网络主动 防御能力。
加强实时监测和分析研判,提高网络安 全的发现预警能力。
加强应急演练,提高网络应急处置能力。
安 公安机关要及时开展监督检查,严格审查 信息系统所定级别,严格检查信息系统开 展备案、整改、测评等工作。
信息安全等级保护制度-信息分类分级管理制度
信息分类分级管理制度第一章总则第一条为切实加强XXXX有限公司(以下简称“公司”)的信息安全工作,防范和杜绝各种泄密事件的发生,保护和合理利用公司秘密,确保公司信息披露的公平、公正,保障公司及其他利益相关者的合法权益不受侵犯,根据有关法律、法规并结合公司实际,制定本管理办法。
第二条保密信息是指不为公众所知悉,关系公司利益,具有实用性并经公司采取保密措施保护的技术信息、经营信息、客户信息和管理信息等,在一定时间内只限一定范围人员知悉的信息。
第三条公司各部门以及全体职员都有保守公司秘密的义务,都应做好信息保密工作。
第四条信息保密工作,实行积极防范、突出重点、既确保秘密又便于工作,并充分履行信息披露义务的方针。
第二章保密信息范围和密级确定第五条保密信息包括但不限于以下事项和行为:(一)涉及公司经营管理、运作和决策,或对公司利益有重大影响,一旦泄密将给公司带来损失或失去潜在收益的信息;(二)包括以书面和电子等方式存在的各种信息;(三)其他与公司相关的需要保密的信息。
第六条保密信息的密级分为“1级”、“2级”、“3级”三个等级。
(一)3级是最重要的公司秘密,泄露会使公司的利益遭受特别严重的损害,主要包括:公司的发展规划、经营战略、客户信息资料及相关内容、交易系统信息数据、商务谈判内容及载体,正式合同和协议文书、未开标的投标文件、未公开的重大投资决策、尚未确定的公司重要人事调整及安排等,以及按《档案法》规定属于绝密级别的各种档案;(二)2级是重要的公司秘密,泄露会使公司利益遭受到严重的损害,如、财务报表、统计资料、重要会议记录、公司经营情况等,以及按《档案法》规定属于机密级别的各种档案;(三)1级是一般的公司秘密,泄露会使公司的利益遭受损害,如公司人事档案、合同、协议、薪金制度,人力资源对管理人员的考评材料等,以及按《档案法》规定属于秘密级别的各种档案。
第七条定级方法所有信息用户,都应该遵守公司策略,基于信息密级来进行恰当的使用和处理。
【等保培训PPT】信息安全等级保护制度的主要内容
目录
第二章、等级保护政策体系和标准体系
① ② 信息安全等级保护政策体系 信息安全等级保护标准体系
2.1、信息安全等级保护政策体系
2.2、信息安全等级保护标准体系
在 安 等全 级建 保设 护整 有改 关工 标作 准的 作 用
目录
第三章、等级保护工作的具体内容和要求
① ② ③ ④ ⑤ 信息安全等级保护定级工作 信息安全等级保护备案工作 信息系统安全建设整改工作 信息安全等级保护测评工作 安全自查和监督检查
1.3、国家等级保护制度的要求
1、《中华人民共和国计算机信息系公统安全保护条例》( 国务院147号令) “计算机信息系统实行安全等级保护,安 全等级的划分标准和安全等级保护的具体办法,由公安部会 同有关部门制定” 。 2.《国家信息化领导小组关于加强信息安全保障工作的意见 》(中公办发[2003]27号)规定:要重点保护基础信息网络 和关系国家安全、经济命脉、社会稳定等方面的重要信息系 统,抓紧建立信息安全等级保护制度,制定信息安全等级保 护的管理办法和技术指南。
信息安全等级保护制度 的主要内容和要求
苏阳浪 信息安全等级保护高级测评师 海南省信息安全等级保护专家组委员会技术组成员 邮箱:suyanglang@
目 录
• 一、信息安全等级保护工作概述 • 二、等级保护政策体系和标准体系 • 三、信息安全等级保护工作的具体内容与要求
目录
3.1、信息安全等级保护定级工作
• 是信息安全等级保护的首要环节 • 定级原则:“自主定级、专家评审、主管部门审批、公安 机关审核”。具体可按照《关于开展全国重要信息系统安 全等级保护定级工作的通知》 (公通字[2007]861号) 要求执行。 • 在等级保护工作中,信息系统运营使用单位和主管部门按 照“谁主管谁负责,谁运营谁负责”的原则开展工作,并 接受信息安全监管部门对开展等级保护工作的监管。 • 定级工作流程:确定定级对象、确定信息系统安全保护等 级、组织专家评审、主管部门审批、公安机关审核。
信息安全等级保护制度的主要内容
信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策,旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。
信息安全等级保护制度的主要内容和要求
• 2008年1月2日发布的国家安全总统令54/国土安全总统令 23,建立了国家网络安全综合计划(CNCI)。 • 三道防线 – 建立第一线防御:减少当前漏洞和隐患,预防入侵; – 全面应对各类威胁:增强反间能力,加强供应链安全 来抵御各种威胁; – 强化未来安全环境:增强研究、开发和教育以及投资 先进的技术来构建将来的环境。 • 十二项任务
重视关键基础设施信息安全保障,建立日尔曼人的“基线” 防御。 1997年建立部际关键基础设施工作组; 2005年出台《信息基础设施保护计划》和《关键基础设施保 护的基线保护概念》
法国信息安全保障体系建设动态
• 2003年12月总理办公室提出《强化信息系统安全国家计划 》并得到政府批准实施,四大目标: – 确保国家领导通信安全; – 确保政府信息通信安全; – 建立计算机反共济能力; – 将法国信息系统安全纳入欧盟颞部法国安全政策范围 。 • 2009年7月7日,成立国家级“网络和信息安全局”,置于 总理领导之下,隶属国防部。
印度
• 重点保护对象: – 银行和金融、保险、民航、电信、原子能、电力、邮政 、铁路、太空、石油和天然气、国防、执法机关
• 机构: – 国家信息委员会、国家信息安全协调中心、信息基础设 施保护中心、信息技术局、印度计算机应急响应小组 • 基本做法: – 2000年,颁布《信息安全法》; – 积极推广互联网和IT基础设施建设等; – 2009年印度政府宣布开发“中央监控系统”,直接连接 国内所有通信服务商,实现对印度境内所有电话和互联 网通信的监听
信息安全是国家安全的重要组成部分已成为世界各国 的共识;
各国纷纷出台自己的信息安全战略和政策,加强自身 的国家信息安全保障体系建设。
国外信息安全保障体系的最新趋势
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
码部门监管,造成信息系统出现重大安全事故的,要追 究单位和人员的责任。
二、等级保护政策体系和标准体系
(一)信息安全等级保护政策体系
近几年,公安部根据国务院147号令的授
权,会同国家保密局、国家密码管理局、发
改委、原国务院信息办出台了一些文件,公
安部和省厅对有些具体工作出台了一些指导 意见和规范,构成了信息安全等级保护政策 体系。 汇集成《信息安全等级保护工作汇 编》供有关单位、部门使用。
信息安全等级保护制度的
主要内容和工作要求
目
录
一、信息安全等级保护制度的主要内容 二、信息安全等级保护政策、标准体系 三、等级保护工作的具体内容和工作要求
一、等级保护制度的主要内容
(一)国家为什么要实施信息安全等级保 护制度
1.信息安全形势严峻
◆敌对势力的入侵、攻击、破坏
◆针对基础信息网络和重要信息系统的违法犯 罪持续上升 ◆基础信息网络和重要信息系统安全隐患严重
(三)等级保护制度的地位和作用
是国家信息安全保障工作的基本制度、基
本国策。
是开展信息安全工作的基本办法。 是促进国家信息化、维护国家信息安全 的
根本保障。
一、等级保护制度的主要内容
(四)实施等级保护制度的主要目的
◆明确重点、突出重点、保护重点 ◆有利于同步建设、协调发展。
◆
优化信息安全资源的配置。
一、等级保护制度的主要内容
2、《国家信息化领导小组关于加强信息安全 保障工作的意见》(中办发[2003]27号)规 定:要重点保护基础信息网络和关系国家 安全、经济命脉、社会稳定等方面的重要 信息系统,抓紧建立信息安全等级保护制
度,制定信息安全等级保护的管理办法和
技术指南。
一、等级保护制度的主要内容
秘密、敏感信息的办公系统和管理系统等。
三、等级保护工作的具体内容和要求
第三级信息系统:一般适用于地市级以上国家
机关、企业、事业单位内部重要的信息系统, 例如涉及工作秘密、商业秘密、敏感信息的办
公系统和管理系统;跨省或全国联网运行的用
于生产、调度、管理、指挥、作业、控制等方
面的重要信息系统以及这类系统在省、地市的
7、《关于推动信息安全等级保护测评体系建设和开展
等级测评工作的通知》(公信安[2010]303号)。
8、《关于印发〈信息系统安全等级测评报告模版(试
行)〉的通知》(公信安[2009]1487号)
9、《公安机关信息安全等级保护检查工作规范》(公
信安[2008]736号 )
(二)信息安全等级保护标准体系
◆第五级,信息系统受到破坏后,会对国家安全造成特
别严重损害。
三、等级保护工作的具体内容和要求
实际操作中参考确定信息系统等级: ◆第一级信息系统:适用于小型私营、个体企业、 中小学、乡镇所属信息系统、县级单位中一般的 信息系统。 ◆第二级信息系统:适用于县级某些单位中的重要 信息系统;地市级以上国家机关、企事业单位内 部一般的信息系统。例如非涉及工作秘密、商业
3、定级工作需要注意的问题 ◆ 同类信息系统的安全保护等级不能随着部、省、 市行政级别的降低而降低。 ◆ 新建系统在规划设计阶段应确定等级,按照信 息系统等级,同步规划、同步设计、同步实施 安全保护技术措施和管理措施。
三、等级保护工作的具体内容和要求
(二)信息系统备案工作
备案工作包括:信息系统备案、受理、审核和备案 信息管理。具体按照《关于开展全省重要信息系统安
全等级保护定级工作的通知》要求开展。
1、备案 ◆第二级以上信息系统,由信息系统运营适用单位到所在 地设区的市级以上公安机关网络安全保卫部门办理备 案手续,填写《信息系统安全等级保护备案表》。
三、等级保护工作的具体内容和要求
省直单位、跨市或者全省统一联网运行的信息
系统,由主管部门向省公安厅备案;
各行业统一定级信息系统在各地的分支系统,
即使是上级主管部门定级的,也要到当地公安 网络安全保卫部门备案。
三、等级保护工作的具体内容和要求
2、受理备案与审核
公安机关受理备案,按照《信息安全等级保护 备案实施细则》要求,对备案材料进行审核, 定级准确、材料符合要求的颁发由公安部统一 监制的备案证明。
安公 安 机 关 信 息 号安 )全 等 级 保 护 检 查 工 作 规 范 ( 公 信 [2008]736
( [2009]1429 )
中华人民共和国计算机信息系统安 全保护条例(国务院147号令)
[2007]861
信息安全等级保护管理办法(公通字[2007]43号)
关于信息安全等级保护工作的实施意见(公通字[2004]66号)
三、等级保护工作的具体内容和要求
1、确定定级对象 ◆起支撑、传输作用的信息网络(包括专 网、内网、外网、网管系统)。 ◆用于生产、调度、管理、指挥、作业、
控制、办公等目的各类业务系统。
◆各单位网站。
三、等级保护工作的具体内容和要求
2、确定信息系统安全保护等级 《管理办法》规定的五个等级: ◆第一级,信息系统受到破坏后,会对公民、法人和其
◆明确信息安全责任。 ◆推动信息安全产业发展。
国家发展改革部门、财政部门、科技部门、公 安机关对重要信息系统在政策上给予支持。
一、等级保护制度的主要内容
(五)公安机关组织开展等级保护工作的依据
1、《警察法》规定:警察履行“监督管理计算机信
息系统的安全保护工作”的职责。
2 、国务院第 147 号令规定:“公安部主管全国计算 机信息系统安全保护工作”,“等级保护的具体 办法,由公安部会同有关部门制定”。 3 、 2008 年国务院三定方案,公安机关新增职能: “监督、检查、指导信息安全等级保护工作”。
他组织的合法权益造成损害,但不损害国家安全、社会 秩序和公共利益。 ◆第二级,信息系统受到破坏后,会对公民、法人和其他 组织的合法权益产生严重损害,或者对社会秩序和公共 利益造成损害,但不损害国家安全。
三、等级保护工作的具体内容和要求
◆第三级,信息系统受到破坏后,会对社会秩序和公共
利益造成严重损害,或者对国家安全造损害。 ◆第四级,信息系统受到破坏后,会对社会秩序和公共 利益造成特别严重损害,或者对国家安全造成严重损 害。
信息安全等级保护工作 定级 备案 安全建设整改 等级测评 检查
[2007]1360
政
策
体 系
作《 的关 通于 知开 》展 (全 公国 信重 安要 信 息 系 统 安 号全 )等 级 保 护 定 级 工
《 信 息 安 全 号等 )级 保 护 备 案 实 施 细 则 》 ( 公 信 安
指《 导关 意于 见开 》展 公信 信息 安安 全 等 级 保 护 安 号全 建 设 整 改 工 作 的
一、等级保护制度的主要内容
(六)等级保护工作的主要内容
对信息系统分等级进行安全保护和监管。
五个规定动作:信息系统定级、备案、安全 建设整改、等级测评、监督检查。
信息安全产品分等级使用管理。 信息安全事件分等级响应、处置。
一、等级保护制度的主要内容
(七)相关部门的责任和义务
职能部门:制定管理规范和技术标准,组织实施,开展
三、等级保护工作的具体内容和要求
(一)信息安全等级保护定级工作
信息系统定级原则:“自主定级、专家评
审、主管部门审批、公安机关审核”。具体可
按照《关于开展全省重要信息系统安全等级保
护定级工作的通知》(赣公字[2007]155号)要 求执行。 定级工作流程:确定定级对象、确定信息 系统安全保护等级、组织专家评审、主管部门 审批、公安机关审核。
公安机关:牵头部门,监督、检查、指导信息安全等级
保护工作。
国家保密部门:负责等级保护工作中有关保密工作的监
督、检查、指导。并负责涉及国家秘密信息系统分级保 护
国家密码管理部门:负责等级保护工作中有关密码工作
的监督、检查、指导
工业和信息化部门:负责等级保护工作中部门间的协调。
一、等级保护制度的主要内容
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化 技术委员会和公安部信息系统安全标准化技术 委员会组织制订了信息安全等级保护工作系列 标准,形成了比较完整的信息安全等级保护标
准体系。
(二)信息安全等级保护标准体 系
基础标准: 《计算机信息系统安全保护等级划分准则》。 在此基础上制定出技术类、管理类、产品类标 准。 安全要求: 《信息系统安全等级保护基本要求》 信息系统安全等级保护的行业规范
(二)信息安全等级保护标准体系
系统定级:
《信息系统安全等级保护定级指南》
信息系统安全等级保护行业定级细则 方法指导: 《信息系统安全等级保护实施指南》 《信息系统等级保护安全设计技术要求》
现状分析:
《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评过程指南》
(二)信息安全等级保护标准体系
[2008]2071
《国家信息化领导小组关于加强信息安全保 障工作的意见》(中办发[2003]27号)
[2010]303
(一)信息安全等级保护政策体系
1、 《关于信息安全等级保护工作的实施意见》(公通
字[2004]66号)
2、 《信息安全等级保护管理办法》公通字[2007]43号) 3、 《关于开展全国重要信息系统安全等级保护定级工
一、等级保护制度的主要内容
2. 是维护国家安全的需要 基础信息网络和重要信息系统已成为国家关 键基础设施
信息安全是国家安全的重要组成部分
信息安是国际上通行的做法。
一、等级保护制度的主要内容
(二)国家对等级保护制度的要求
1.《中华人民共和国计算机信息系统安全保护 条例》(国务院147号令):“计算机信息 系统实行安全等级保护,等级的划分标准和 安全等级保护的具体办法,由公安部会同有 关部门制定。”